Динамические, но провайдер то один ?
ограничте по подсетям провайдера

И если используется обращение типа https://myserver/zabbix, то заменить на https://myserver/mypath

нет, агенты разбросаны по городу, подключены через пень-колоду

смысл заббикса был именно в том, чтобы с них телеметрию собирать

И гостя само собой выключить

гость из коробки отключен

Это хорошо. Раньше он был включен, поэтому если иснталляция наследована с давних времен, то дырка могла остаться

не, новый инсталл, сразу пятерка

Если я правильно помню, то на данный момент есть единственная дыра в вебке - спецзапрос при включенном госте. Хотя может и ее уже закрыли. Но перебор паролей никто не отменял

Кстати, переименуй админа в вебке

положить БД спамом запросов через веб с длинной выборкой истории - легко

Это если есть логин/пароль

это да

хм, ок, спасибо, пойду курочить конфиги

Если резюмировать кратко:
Защита сервера - PSK
Защита вебки - https, нестандартный URL, переименование учетки Admin

отключение учетки admin 😆

Тоже вариант. Заодно и id администратора поменяется

И еще вот есть - https://www.zabbix.com/documentation/current/ru/manual/installation/requirements/best_practices

Вообще как по мне, защита чего либо, это комплексная мера, а не просто настройки одного места...
Как то слышал вроде бы о идеи "астролинукса", где вроде все накручено ради безопасности, но ломануть в вакууме можно, а вот когда у тебя боевой проект и везде есть "слои" безопасности, то ломануть внезапно становится почти невозможно т.к. есть комплекс технических и административных мер.

Я параноик в данном плане, либо полностью закрытая система, либо несколько уровней ограничений...

Да, читал, даже частично воплотил. У меня сертификаты от let's encrypt их ведь тоже можно ипользовать, не обязательно же апачевский? Или я не догоняю?